CatB Ransomware

Ransomvér CatB je nepríjemná hrozba, ktorá sa zameriava na podnikové subjekty a pôvodne sa považovala za variant Pandora Ransomware kvôli podobnostiam medzi ich výkupnými. Títo dvaja sú však dosť odlišní. CatB obsahuje techniky anti-VM na overenie vykonania na „skutočnom počítači“, po ktorom nasleduje vypustenie knižnice DLL a použitie únosu knižnice DLL na účely obchádzania detekcie. Malvér pozostáva z dvoch súborov: 'version.dll', ktorý je zbalený s UPX a je zodpovedný za vykonávanie anti-VM kontrol, a 'oci.dll', dátová časť ransomvéru, ktorá sa spustí po vypustení.

Kontrola prostredí karantény

Analýza CatB odhalila tri rôzne metódy využívané hrozbou, aby sa zabezpečilo, že sa vykonáva na skutočnom počítači a nie vo VM/sandboxe. Hrozba vykoná kontrolu jadra procesora, overí celkovú dostupnú pamäť systému a zváži veľkosť pripojeného pevného disku.

Súčasné alebo moderné počítače majú zvyčajne minimálne hardvérové špecifikácie. Ak CatB zistí výsledky, ktoré sa príliš líšia alebo sú pod očakávanou hodnotou, bude výsledky považovať za znak toho, že nie sú spustené na skutočnom systéme. Napríklad väčšina počítačov bude mať aspoň dve procesorové jadrá, takže prítomnosť iba jedného bude vyhodnotená ako podozrivá. To isté platí pre veľkosť fyzickej pamäte. CatB Ransomware využíva funkciu GlobalMemoryStatusEx API na získanie potrebných informácií a sám sa zatvorí, ak vrátené výsledky ukážu menej ako 2 GB fyzickej pamäte. Nakoniec sa ransomvér neaktivuje, ak zistí, že jeho aktuálne prostredie má menej ako 50 GB miesta na pevnom disku.

DLL únos a vytrvalosť

Ak prebehnú všetky kontroly anti-VM, dropper prehodí obsah ransomvéru (oci.dll) do priečinka C:\Windows\System32 a upraví konfigurácie služby MSDTC (služba Distributed Transaction Coordinator Windows, ktorá je zodpovedná na koordináciu transakcií medzi databázami a webovými servermi). Úpravy zahŕňajú zmenu názvu účtu spusteného službou zo sieťovej služby na lokálny systém, udelenie práv správcu a zmenu jeho možnosti spustenia z možnosti Vyžiadať spustenie na Automatické spustenie, aby sa zachovala trvalosť po reštarte systému.

Keď kvapkadlo zmení potrebné nastavenia, spustí službu. Táto služba sa predvolene pokúsi načítať viaceré knižnice DLL z priečinka System32. To umožňuje hrozbe uložiť nelegitímnu knižnicu DLL (napríklad oci.dll) do rovnakého adresára, čo jej umožní spustiť poškodený kód.

Rutina šifrovania a požiadavky na výkupné

Šifrovanie údajov obete sa začína v momente, keď sa načíta súbor užitočných údajov CatB Ransomware „oci.dll“ ako súčasť procesu „msdtc.exe“. Počas svojho vykonávania vykazuje CatB niekoľko charakteristík, ktoré ho odlišujú od bežnejších hrozieb ransomware. Najprv vymenuje existujúce disky a jednotky a zašifruje iba tie, ktoré sú súčasťou jeho pevne zakódovaného zoznamu – Disky D:\, E:\, F:\, G:\, H:\, I:\ a všetky súbory obsiahnuté v C:\Users a jeho podpriečinkoch. Aby sa predišlo prípadným kritickým systémovým chybám na zariadení, ktoré by mohli zabrániť obetiam, aby si vôbec všimli útok ransomvéru, CatB neovplyvní niekoľko konkrétnych prípon súborov - .msi, .exe, .dll, .sys, .iso, ako aj súbor NTUSER.DAT. Upozorňujeme, že CatB žiadnym spôsobom nemení názvy súborov, ktoré šifruje.

Ďalšia odchýlka od normy je pozorovaná v spôsobe, akým CarB Ransomware doručuje výkupné. Namiesto vytvorenia textového súboru so správou požadujúcou výkupné v každom priečinku obsahujúcom zamknuté údaje hrozba pripojí svoju správu na začiatok každého zašifrovaného súboru. To znamená, že obete môžu byť spočiatku zmätené z toho, prečo sa ich súbory javia ako poškodené, a pri pokuse o otvorenie jedného z napadnutých súborov sa im zobrazia požiadavky útočníkov. V poznámke o výkupnom sa uvádza, že CatB Ransomware používa šifrovací algoritmus RAS-2048 a veľkosť požadovaného výkupného bude závisieť od času, ktorý obete zaplatia. Sumy sa pohybujú od 50 bitcoinov (~ 800 000 USD) do 130 bitcoinov (~ 2 milióny USD). Po piatich dňoch hackeri pohrozili, že všetky zašifrované dáta sa natrvalo stratia. Zdá sa, že obete môžu poslať až 3 súbory na e-mailovú adresu 'catB9991@protonmail.com', aby ich mohli bezplatne dešifrovať.

Úplný text poznámky CatB Ransomware je:

'??? Čo sa stalo???
!!! Vaše súbory sú zašifrované!!!

Všetky vaše súbory sú chránené silným šifrovaním s RSA-2048.
Neexistuje žiadny verejný dešifrovací softvér.

Program a súkromný kľúč, aká je cena? Cena závisí od toho, ako rýchlo nám môžete zaplatiť.

1 deň: 50 bitcoinov
2 dni: 60 bitcoinov
3 dni: 90 bitcoinov
4 dni: 130 bitcoinov
5 dní: trvalá strata dát!!!!

Adresa BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Po prijatí pošleme program a súkromný kľúč vášmu IT oddeleniu hneď teraz.!!!

Bezplatné dešifrovanie Ako záruku nám môžete poslať až 3 bezplatné dešifrované súbory pred platbou.
e-mailom: catB9991@protonmail.com

!!! Nepokúšajte sa dešifrovať údaje pomocou softvéru tretích strán, môže to viesť k trvalej strate údajov.!!!
!!! Náš program dokáže opraviť váš počítač za pár minút.!!!'